CityOss
commented
1 month ago - Er staat: "De selectie van hygiënemaatregelen zal hierbij minimaal gelijk zijn aan of hoger liggen dan het vereiste niveau van de cyberhygiëne van NIS2."
De NIS2-richtlijn stelt strenge eisen aan de cyberhygiëne van vitale sectoren. Door te eisen dat zelfs basishygiënemaatregelen minimaal gelijk zijn aan deze normen, ontstaat de vraag of dit niet te zwaar is voor niet-vitale diensten. Voor niet-vitale diensten kunnen zulke hoge standaarden onnodig complex en kostbaar zijn, zonder een evenredige toename in veiligheid. Het is belangrijk om een balans te vinden tussen noodzakelijke beveiliging en haalbaarheid.
- Er wordt onderscheid gemaakt tussen maatregelen die horen bij basishygiëne, ketenrisico's en overheidsrisico's. Deze onderverdeling roept vragen op: overlappen de categorieën elkaar of zijn ze wederzijds uitsluitend? De huidige beschrijving leidt tot verwarring.
De huidige tekst is: “De set overheidsmaatregelen vormen de basishygiëne op gebied van informatiebeveiliging van elke (overheids)organisatie en worden zonder meer getroffen, los van hoge of lage risico-acceptatie. Onderdeel daarvan zijn ketenrisico's en risico's die de gehele overheid gelden. • Basishygiëne: basismaatregelen die passen bij een standaard goede informatiebeveiliging. De selectie van hygiënemaatregelen zal hierbij minimaal gelijk zijn aan of hoger liggen dan het vereiste niveau van de cyberhygiëne van NIS2. • Ketenrisico’s: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden en waarbij gezamenlijk handelen door de overheid nodig is. • Overheidsrisico’s: mitigeren van universele informatieveiligheidsrisico’s die gelden voor de gehele overheid.”
Passage: “overheidsmaatregelen vormen de basishygiëne” en “Onderdeel daarvan zijn”. Waarvan? Van “overheidsmaatregelen” of “basishygiëne”? En bedoelen we dan ook dat dit het minimum is, men hoeft verder niet te grasduinen in 27002 of andere kaders? Wanneer wel?
Passage: “worden zonder meer getroffen”. Hoe heeft risicomanagement hier een rol? Ik ga uit van pas-toe-of-leg-uit, maar heb gemerkt dat dit nog wel eens tot discussie leidt.
Opsomming: “Basishygiëne; Ketenrisico’s; Overheidsrisico’s”. Door hier de termen “Basishygiëne” en “Overheidsrisico’s” te gebruiken lijkt het een verwijzing naar de eerder gebruikte term en erop lijkende term “overheidsmaatregelen”, terwijl dat niet zo bedoeld is. Ook ervaar ik de term “overheidsrisico’s” als ongemakkelijk, het doet mij aan als een kopje “overig die we ook belangrijk vinden, naast basis en keten”.
Suggestie: “De set overheidsmaatregelen vormen een eerste stap naar hygiëne op gebied van informatiebeveiliging van elke (overheids)organisatie en worden zonder meer getroffen, los van hoge of lage risico-acceptatie. De set bestaat uit basismaatregelen, aangevuld met maatregelen tegen ketenrisico's en overige voor overheid specifieke risico’s. • Basis: maatregelen die passen bij een standaard goede informatiebeveiliging, niet specifiek overheid. De selectie van hygiënemaatregelen zal hierbij minimaal gelijk zijn aan of hoger liggen dan het vereiste niveau van de cyberhygiëne van NIS2. • Keten: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden en waarbij gezamenlijk handelen door de overheid nodig is. • Overig: universele maatregelen die informatieveiligheidsrisico’s mitigeren die gelden voor de gehele overheid.
Let op! De overheidsmaatregelen zijn een minimumset aan maatregelen, waarnaast met een risicoafweging bepaald moet worden of aanvullende maatregelen nodig zijn op basis van 27002 en andere kaders. Indien men middels zo’n afweging besluit dat een overheidsmaatregel niet relevant is of geïmplementeerd kan worden, dan geldt het zogenoemde pas-toe-of-leg-uit principe."